なぜPHPアプリにセキュリティホールが多いのか?:第14回... ノウハウ(Tips)  

こんにちは ゲスト さん | ログイン | ヘルプ | okyuu.com Feed Feed

総合トップ / ノウハウ / セキュリティ ノウハウ / 脆弱性 ノウハウ / なぜPHPアプリにセキュリティホールが多いのか?:第14回...

ノウハウ

Feed
クリップに追加

3

3人
の評価

なぜPHPアプリにセキュリティホールが多いのか?:第14回 減らないSQLインジェクション脆弱性|gihyo.jp … 技術評論社

0014

SQLインジェクション脆弱性を狙った大規模な攻撃が繰り返し行われ,数万から数十万ページが改竄される事件が何度も発生しています。SQLインジェクションは簡単に対策できる脆弱性ですが,未対策のアプリケーションが多く利用されています。外部からの脆弱性の検出も容易であるため,現在でもWebアプリケーション脆弱性の代表的存在です。 SQLインジェクション脆弱性が無くならない理由には以下のようなものが考えられます。 過去のコードやアプリケーションの再利用 基本的なセキュリティ知識不足 セキュアコーディング...

  • コメント数 (2)
  • クリップ数 (0)
  • アクセス数 (1762) 



    

  • 過去のコードやアプリケーションの再利用
    • 

  • 基本的なセキュリティ知識不足
    • 

  • セキュアコーディングプラクティスの未実施
    • 

  • コード監査の不在
    •

コメントする
Category_icon総合トップへ

2

2人
の評価
クリエイタ・HTMLコーダに毛が生えた程度のスキルで
「なにがし入門」などを教本にPHPを組んでも、それなりに「問題なく動作」するし、
そもそも、それでいいのかどうかを判断する人がいない...
というデザイン事務所・製作会社レベルが結果を得やすい言語だと思う。

そういうレベルならば、何かのフレームワークを利用して
セキュリティについてはソレに任せてしまう、という考え方もあるが、
なぜか力技でフルスクラッチする。

徐々に高度化するクライアントの要件に対して
付け焼刃的なテクニックでしのいできている結果ではないだろうか?

1

1人
の評価
フルスクラッチする原因として

    

  1. フレームワークの学習コストが高い
    2. 

  2. 脆弱性に対する知識不足
    3. 


というのがあげられますかねase01


力技でフルスクラッチする。

コメントする

徳丸浩の日記 - SQLインジェクション対策 - SQLエ... 次のノウハウ >>

おススメのノウハウ

0
0
コメント
徳丸浩の日記 - SQLインジェクション対策 - SQLエスケープにおける「\」の取り扱い
(2008/06/03 11:25) by ff_jk
0
0
コメント
なぜPHPアプリにセキュリティホールが多いのか?:第27回 見過ごされているWebアプリケーションのバリデ...
(2009/06/22 11:26) by ugit
0
0
コメント
PHP/脆弱性リスト/メモ - yohgaki's wiki
(2008/06/08 22:37) by smile2525
0
0
コメント
PHPでのセキュリティ対策についてのメモ - Liner Note
(2008/10/27 13:19) by kiske
0
0
コメント
徳丸浩の日記 - XSS - 今こそXSS対策についてまとめよう
(2008/09/04 10:50) by kiske
0
1
コメント
mod_securityでWebサーバを守る (第1回)
(2008/06/05 01:47) by phantom
5
0
コメント
サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ - naoeの日記
(2008/11/13 18:37) by discovery
0
0
コメント
WEBマーケティング研究会: 第1回・SQLインジェクション
(2009/04/27 08:35) by smile2525
1
2
コメント
徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由がある
(2008/06/23 12:38) by kiske
1
0
コメント
なぜPHPアプリにセキュリティホールが多いのか?:第21回 文字エンコーディングとセキュリティ(3)|gi...
(2009/01/16 11:20) by hothot
あなたの問題は解決しましたか?

okyuu.comはITエンジニアのための質問サイトです。あなたの質問に答えてくれるエンジニアがいるかもしれません。なんと回答率は89

はじめての方へ
Link_icon_topページトップへ

回答率(2010/03/19現在)
89%
今すぐ質問してみる

カテゴリ

Rb_back_iconノウハウトップへ戻る
Rb_back_iconセキュリティ  (99)
Rb_list_icon総合 脆弱性 カテゴリへ
Rb_list_iconQ&A 脆弱性 カテゴリへ 
Rb_list_iconニュース 脆弱性 カテゴリへ 

特集

okyuu.comポイント獲得を競って、話題の賞品をゲットしよう! okyuu.comポイント獲得を競って、話題の賞品をゲットしよう!
新しい評価指標「okyuu.comポイント」を多く獲得して、話題の賞品を手に入れよう!
ソフトウェアを公開するのが楽しい 岡野真也さん ソフトウェアを公開するのが楽しい 岡野真也さん
ソフトウェアを公開するのが面白くてたまらない。作っては公開というのが彼のやり方だが、若きエンジニアにとってはそれくらいがちょうどいいのかもしれない。
コンピュータは世界を広げる実験道具 西尾泰和さん コンピュータは世界を広げる実験道具 西尾泰和さん
プログラミング、サイエンス、デザイン マルチな彼にとって、コンピュータは未知の世界を広げるための道具であることに変わりはない。今後の展開が楽しみだ。
理想のOS開発に人生を賭ける 川合秀実さん 理想のOS開発に人生を賭ける 川合秀実さん
OSASK計画代表の川合さんは、人生の1秒を惜しみながら独自OSの開発にいそしむ。
「楽しむ」それが豊かなエンジニアになるコツ 坂井恵さん 「楽しむ」それが豊かなエンジニアになるコツ 坂井恵さん
日本MySQLユーザ会の副代表を務める坂井恵さん。技術の現場で会社運営に興味を持ち、独立起業の道を選んだエンジニアだ。
夢はエンジニアに強い影響を与える本を書くこと 松信嘉範さん 夢はエンジニアに強い影響を与える本を書くこと 松信嘉範さん
ソニーの情報シスから日本を代表するMySQLのコンサルタントに。彼が魅せられたオープンソースの世界とは?
お友達紹介機能をつかってポイントGET! お友達紹介機能をつかってポイントGET!
お友達を招待してみんなでokyuuポイントをGETしよう!
オープンソースの活動「すごく、いい」 前坂徹さん オープンソースの活動「すごく、いい」 前坂徹さん
オープンソースプロジェクトで活躍する若き新鋭。コミュニティ活動の感想を尋ねると「すごく、いい」と満面の笑み。
コンピュータは創造力を刺激する 奥一穂さん コンピュータは創造力を刺激する 奥一穂さん
天才エンジニアとしての国際的な評価も高い奥一穂さん。世間からのスマートだとの評価には「自分は広く浅くだから」とさらり。
25歳からプログラミング「泣きながら覚えた」 庄司嘉織さん 25歳からプログラミング「泣きながら覚えた」 庄司嘉織さん
25歳でプログラマーに転向した。いまやjava-jaを立ち上げるなど精力的なエンジニアだ。
Rails勉強会@東京は“キャスト”の気持ちで 諸橋恭介さん Rails勉強会@東京は“キャスト”の気持ちで 諸橋恭介さん
大学時代、偶然手にしたMacが諸橋さんにITエンジニアの道を開いた。
"シャイモード"機能を活用しよう! "シャイモード"機能を活用しよう!
こんな質問してもいいのかな?そんなときは"シャイモード"で投稿!
RX-7とサーバ運用の意外な共通点 並河祐貴さん RX-7とサーバ運用の意外な共通点 並河祐貴さん
Amazon EC2を巧みに使いこなすTIS/SonicGardenの並河さん。「腕一本で食べていきたい」とITエンジニアを目指した。
「ブラックボックスは不安でしょ」 ひろせまさあきさん 「ブラックボックスは不安でしょ」 ひろせまさあきさん
エンジニアが楽しくて仕方がない。オープンソースを組み合わせてシステムを作り上げるのが彼の矜持のようだ。
Perlの地位向上を胸に 牧大輔さん Perlの地位向上を胸に 牧大輔さん
endeworksの牧大輔さんは社団法人JPAを立ち上げ、Perlの企業利用を促進したいという。
偶然からCTOへ ライブドアCTO池邉智洋さん 偶然からCTOへ ライブドアCTO池邉智洋さん
池邉智洋さんはライブドアCTOの技術メンバーを先頭で率いる。「まずはやって見せることも大事」と語る。